juin 2021

CNIL – Intégration de données Covid-19 au SNDS

2021-06-08T15:36:41+00:003 juin 2021|Actualités Vigier Avocats|

La loi n°2021-689 du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire, validée par le Conseil constitutionnel, publiée au Journal officiel le 1er juin 2021, prévoit notamment l’intégration des données recueillies par les systèmes d’information mis en œuvre dans le cadre de la lutte contre l’épidémie de Covid-19 au Système national des données de santé (SNDS). Ces systèmes d’information, SI-DEP et Contact Covid, permettent respectivement de centraliser l’ensemble des résultats des tests effectués et d’assurer le suivi des patients et de leurs cas contacts.

Dans sa décision du 31 mai 2021, le Conseil constitutionnel a validé cette intégration sous réserve que les coordonnées de contact téléphonique ou électronique des personnes concernées ne soient pas intégrées au SNDS.

Jusqu’à cette loi, les données issues de SI-DEP et Contact Covid pouvaient être conservées jusqu’au 31 décembre 2021. Désormais, avec le versement de ces données dans le SNDS, la conservation pourra aller jusqu’à 20 ans après leur transfert.

Consulté sur le projet de loi en avril 2021, le Conseil d’Etat estime que, compte tenu de la pseudonymisation des données, la durée de conservation de 20 ans prévue par le SNDS n’est pas excessive au regard de l’intérêt public qui s’attache à ce que les données de santé puissent être utilisées pour l’amélioration des connaissances sur la Covid-19.

S’agissant de l’information des personnes concernées, les responsables de traitements doivent les informer, sans délai et par tout moyen, que les données les concernant sont rassemblées et mises à disposition via le SNDS, ainsi que de la durée de conservation, des personnes qui y ont accès et des finalités en vue desquelles elles peuvent être traitées. Les personnes concernées disposent d’un droit d’opposition.

Cette information est délivrée individuellement aux personnes dont les données sont collectées à compter du 2 juin 2021, date d’entrée en vigueur de la loi.

mai 2021

CNIL – Rapport d’activités 2020

2021-05-21T18:37:24+00:0021 mai 2021|Actualités Vigier Avocats|

La CNIL vient de publier son rapport d’activités annuel de 2020 et de mettre à jour la liste de ses agents habilités à effectuer des vérifications.

Sur l’année écoulée, 247 contrôles ont été effectués dont 82 contrôles en ligne et 74 sur pièces, 72 sur place et 19 sur audition. Les contrôles sur place représentent habituellement la moitié des contrôles. Du fait de la crise sanitaire, d’autres modalités de contrôle ont été privilégiés.

La CNIL a traité 56 signalements de violations de données, liées à des failles de sécurité rendant accessible des données sur internet sans protection.

Les plaintes sont la principale source de déclenchement des contrôles (+40%) ainsi que l’actualité (32%). 15 % des contrôles concernent les thématiques du programme de contrôle annoncé pour l’année (Cf Actualités en date du 13 mars 2020)

La CNIL a prononcé 14 sanctions : 11 amendes, 2 rappels à l’ordre de la formation restreinte et 1 injonction), 49 mises en demeure, 38 rappels à l’ordre et 2 avertissements de la Présidente.

L’année 2020 a aussi été marquée par un pic des notifications de violations des données avec une hausse de 24%. 17% d’entre elles concernaient des données sensibles. Le secteur de la santé et de l’action sociale a connu une progression de 83% des notifications. La majorité des violations de données a concerné une perte de confidentialité et émanait souvent d’un acte d’origine externe malveillant.

Dans le cadre de la crise sanitaire, la CNIL a mis en place une procédure accélérée d’instruction des demandes d’autorisation de recherches dans la Covid-19, en acceptant des dossiers pour lesquels l’avis du Comité éthique n’avait pas encore été rendu et un accompagnement des déposants.

La CNIL continue son accompagnement dans le domaine de l’innovation avec le lancement, début 2021, du dispositif « bac à sable » visant les projets en santé numérique dans une logique de privacy by design (protection des données dès la conception).

Rapport annuel 2020

mars 2021

CNIL – Programme de contrôle 2021

2021-03-02T23:35:36+00:002 mars 2021|Actualités Vigier Avocats|

Pour la seconde année consécutive, la sécurité des données de santé et l’utilisation des cookies sont parmi les priorités. La cybersécurité des sites web complète ce programme. Une cinquantaine de contrôles devrait y être consacrée.

En 2021, la CNIL poursuivra les contrôles amorcés sur la sécurité des données de santé, dans le contexte de la crise sanitaire et le développement de la e-santé. La fuite massive de données de santé récente illustre cette priorité. Elle vérifiera également l’application des nouvelles recommandations en matière de cookies et traceurs (Actualité de décembre 2020), comme elle l’avait annoncé. Le défaut de sécurité des sites web et l’augmentation des notifications de violation de données ont conduit la CNIL à faire de la cybersécurité des sites web une priorité.

En 2020, 6 500 actes d’investigation ont été réalisées dont 247 procédures formelles de contrôle.

Pour mémoire, les contrôles sont déclenchés suite à des réclamations/plaintes, signalements, programme annuel, en fonction de l’actualité, signalement par une autre autorité, vérification suite à des procédures de contrôle clôturées, de mises en demeure, des sanctions.

Formation Anticiper et gérer un contrôle de la CNIL 27 mai 2021

décembre 2020

CNIL – Cookies/traceurs et données de santé

2020-12-19T10:39:47+00:0018 décembre 2020|Actualités Vigier Avocats|

Le 7 décembre, la CNIL a prononcé plusieurs sanctions rendues publiques ces derniers jours.

Les premières sanctions relatives aux cookies et aux traceurs rappellent que tout acteur, qui recourt à des traceurs et cookies, doit mettre son site Internet en conformité avec les nouvelles lignes directrices et la recommandation. En effet, sauf rares exceptions, le recueil du consentement des internautes avant tout dépôt de cookies ou traceurs est obligatoire.

La période de tolérance de six mois laissée par la CNIL arrive à échéance fin mars 2021.

Les secondes ont sanctionné des manquements aux obligations de sécurité de données de santé.  Ces obligations s’appliquent à tous les responsables de traitement, quelque soit leur taille ou mode d’exercice. La CNIL rappelle l’obligation de notification en cas de violation de données en sus des principes élémentaires impératifs en matière de sécurité informatique : la configuration du réseau informatique, le chiffrement des données personnelles hébergées sur les serveurs…

Doit être notifiée à la CNIL toute violation de données personnelles qui engendre un risque pour les personnes concernées dans les meilleurs délais et, si possible, dans les 72 heures après en avoir pris connaissance. Si la violation de données engendre un cas de risque élevé, alors les personnes concernées seront notifiées.

Lignes directrices
Evaluer le niveau de sécurité

septembre 2020

Données personnelles – Le Coin du DPO

2020-09-14T14:30:37+00:0012 septembre 2020|Actualités Vigier Avocats|

Le Coin du DPO est en ligne !  https://dpo.vigier-avocats.com/

Le Coin du DPO est une plateforme d’informations et de veille sur la protection des données personnelles, incluant les données personnelles dans le domaine de la santé & recherche.

Elle est destinée à toute personne qui gère, traite des données personnelles dans le cadre de son activité : les délégués à la protection des données (DPO), les professionnels de santé, les ressources humaines, services clients, les prestataires de services et autres.

Le Coin du DPO permet de

  • disposer d’une bibliothèque de documents nécessaires à votre activité et à jour,
  • réaliser une veille avec des notifications à chaque nouveau document publié sur la plateforme,
  • le cas échéant, adresser des suggestions ou demandes

Pour de plus amples informations, la présentation de l’offre ainsi que le tutoriel.

Voir la vidéo : présentation
Voir la vidéo : tutoriel

juillet 2020

CNIL – Publication de 3 référentiels dans le secteur de la santé

2020-07-29T07:58:05+00:0028 juillet 2020|Actualités Vigier Avocats|

Le 18 juin dernier, la CNIL a adopté trois référentiels dans le domaine de la santé, dont les délibérations ont été publiées au Journal officiel du 28 juillet 2020.

Deux référentiels portant sur les durées de conservation des données à caractère personnel dans le secteur de la santé. Ils reprennent les durées déterminées par la règlementation et/ou les durées mentionnées dans les différentes méthodologies de référence.

  • Délibération n° 2020-076 du 18 juin 2020 portant adoption d’un référentiel relatif aux durées de conservation des données à caractère personnel traitées dans le secteur de la santé
  • Délibération n° 2020-077 du 18 juin 2020 portant adoption d’un référentiel relatif aux durées de conservation des données à caractère personnel traitées à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé

Le troisième référentiel porte sur les traitements de données à caractère personnel destinés à la gestion des cabinets médicaux et paramédicaux. Ce référentiel est applicable aux professionnels de santé exerçant en libéral. Ne sont pas concernés par ce référentiel les opticiens et les pharmaciens ainsi que les services de soins, les laboratoires d’analyses de biologie médicale.

  • Délibération n° 2020-081 du 18 juin 2020 portant adoption d’un référentiel relatif aux traitements de données à caractère personnel destinés à la gestion des cabinets médicaux et paramédicaux

Le respect de ces référentiels permet de s’assurer de la conformité des traitements de données à la règlementation.

Télécharger le PDF
Télécharger le PDF
Télécharger le PDF

juin 2020

Arrêté du 26 mai 2020 de nomination des membres du Comité éthique et scientifique pour les recherches

2020-06-09T09:51:39+00:009 juin 2020|Actualités Vigier Avocats|

Les membres du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé ont été nommés par arrêté du 16 mai 2020, paru au Journal officiel de ce jour.

Cette nomination intervient dans le prolongement du décret n°2020-567 du 14 mai 2020 qui actait l’évolution du CERESS en CESREES, et ce, pour une durée de 5 ans renouvelable une fois.

Ce comité est saisi, préalablement à la saisine de la CNIL, de toute demande de mise en œuvre des traitements de données à caractère personnel ayant pour finalités la recherche, l’étude ou l’évaluation dans le domaine de la santé et n’impliquant pas la personne humaine. Il émet un avis sur la méthodologie retenue, sur la nécessité du recours à des données à caractère personnel, sur la pertinence de celles-ci par rapport à la finalité du traitement et, s’il y a lieu, sur la pertinence scientifique et éthique du projet.

Depuis le décret du 14 mai dernier, le comité peut se prononcer sur le caractère d’intérêt public d’un traitement de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé à la demande du président de la Commission nationale informatique et libertés ou du ministre chargé de la santé, ou de sa propre initiative lorsqu’il examine le dossier d’une demande d’autorisation relative à un traitement de données à caractère personnel. (Cf Actualités du 16 mai)

Télécharger le PDF

mai 2020

Décret n°2020-567 sur les traitement de données à des fins de recherche dans la santé

2020-05-16T00:59:30+00:0016 mai 2020|Actualités Vigier Avocats|

Le décret n°2020-567 du 14 mai 2020 relatif aux traitements de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé vient modifier le décret n°2019-536 du 29 mai 2019, et ce, suite à la loi n°2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé.

Le Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (« CESREES ») succède au CEREES.

Le décret prévoit la possibilité pour le CESREES de se prononcer sur le caractère d’intérêt public des traitements de données à des fins de recherche, d’étude ou d’évaluation sur saisine du président de la Commission Nationale de l’Informatique et des Libertés (CNIL) ou du ministre chargé de la santé ou de sa propre initiative lors de l’examen des demandes d’autorisation.  La CNIL avait recommandé que le CESREES se prononce systématiquement sur la finalité d’intérêt public des projets de recherche.

Le sens de l’avis rendu par le Comité ou la motivation de l’avis pour les traitements autorisés sera publié sur le site de la Plateforme de données de santé.

Dans son avis sur le projet de décret qui lui a été soumis, la CNIL recommandait qu’un article spécifique du décret soit dédié au répertoire public mis à disposition par le secrétariat unique afin de préciser le périmètre des recherches et des informations devant y figurées. Elle proposait de regrouper dans un seul répertoire public toutes les recherches n’impliquant pas la personne humaine qu’elles aient été mises en œuvre dans le cadre d’un engagement de conformité à une méthodologie de référence ou d’une demande d’autorisation. Le décret de 2019 reste inchangé sur ce point.

Télécharger le PDF

Covid-19 : Traitements de données de santé & SI

2020-05-14T18:09:04+00:0014 mai 2020|Actualités Vigier Avocats|

L’article 11 de la loi n°2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et en complétant ses dispositions, permet la mise en œuvre d’un système de partage des données personnelles liées à la santé des personnes atteintes par le COVID-19, ou ayant été en contact avec. Elle renvoie à des décrets d’applications pour préciser les modalités de mise en œuvre de ces traitements. C’est chose faite avec la parution du décret n°2020-551 du 12 mai 2020 relatif aux systèmes d’information.
La caisse nationale de l’assurance maladie est autorisée à adapter le système d’information « amelipro » afin de mettre en œuvre un traitement « Contact Covid ». Ce traitement permet d’identifier les personnes infectées, ainsi que les personnes présentant un risque d’infection, mais également de les orienter vers des prescriptions médicales correspondantes, et enfin de contribuer à la surveillance épidémiologique et à la recherche sur le virus et les moyens de lutte contre sa propagation.

Le second traitement est le traitement « SI-DEP » mis en œuvre par l’Assistance-publique-Hôpitaux de Paris sous la responsabilité du ministre de la santé. Il s’agit d’un système d’information national de dépistage, dont la durée est limitée à six mois à compter de la fin de l’état d’urgence sanitaire (soit le 9 janvier 2021).

Enfin, le décret offre aux agences régionales de santé la possibilité de recourir à des sous-traitants pour effectuer les missions d’enquêtes sanitaires, d’orientation, de suivi et d’accompagnement des personnes ainsi que de surveillance épidémiologique, sous réserve qu’elles s’assurent des garanties de compétence suffisantes pour assurer le respect des règles de confidentialité.

A également été pris un arrêté du 12 mai 2020 portant modification de la liste des actes et prestations mentionnée à l’article L162-1-7 du code de la sécurité sociale en intégrant les tests de détection du génome SARS-CoV-2 par RT PCR à la liste des actes pris en charge par l’assurance maladie. Les personnes inscrites dans le système de suivi des personnes contacts se verront immédiatement prescrire un test de diagnostic, ainsi que son remboursement, et la délivrance de masques en officine. Par ailleurs, un forfait de traitement de prise en charge pré-analytique patient est instauré comprenant : vérification de l’inscription du patient contact dans le téléservice « Contact Covid », l’enregistrement de la date de réalisation du prélèvement dans ce service et la réalisation du test, l’enregistrement des informations demandées par le traitement « SI-DEP ». Ce qui permettra le remboursement du test de détection.

Télécharger le PDF
Télécharger le PDF
Télécharger le PDF

avril 2020

DM – Report du règlement (UE) 2017/745

2020-11-17T15:01:30+00:0024 avril 2020|Actualités Vigier Avocats|

La parution au Journal officiel du règlement (UE) 2020/561 entérine le report au 26 mai 2021 l’application du règlement (UE) 2017/745 relatif aux dispositifs médicaux (DM).

En raison de la pandémie de COVID-19 et de la crise de santé publique, la Commission européenne a proposé le 3 avril dernier de reporter d’un an la date d’application du règlement relatif aux DM pour permettre aux acteurs du secteur de se concentrer sur la gestion de la crise actuelle.

Acceptée par le Parlement européen le 17 avril, la proposition de modification du règlement prévoit que toutes les dispositions qui auraient dû s’appliquer à compter du 26 mai 2020 sont reportées d’un an et ne seront applicables que le 26 mai 2021. Ainsi, les dispositifs médicaux légalement mis sur le marché conformément aux directives avant le 26 mai 2021 peuvent continuer d’être mis à disposition sur le marché ou mis en service jusqu’au 26 mai 2025. Cette dernière date n’a, quant à elle, pas fait l’objet d’un décalage dans le temps.

Il ne restait qu’au Conseil de l’Union européenne d’adopter la proposition pour que le texte soit officiellement entériné et publié au Journal officiel de l’Union européenne. C’est chose faite : dès la première lecture compte tenu de l’urgence de la situation et de l’importance du sujet pour les acteurs du secteur.

Télécharger le PDF